这是因为私接路由器插在了LAN口上。我相信大部分网路管理人员都被它坑过。今天我就来分享下一些常见的解决方案。最根本的解决方法,是在交换机上进行限制,主要考虑如下几个方面:

  1. 交换机埠的mac地址绑定,限制外来设备的接入。
  2. 交换机开启dhcp snooping功能,这个功能会屏蔽不信任的dhcp广播包。

但是交换机的这些功能实现需要硬体支持,而且配置和维护都比较复杂。所以对于大部分用户来说并不容易实现。对于不具备三层交换机的区域网环境来说,要防范私接路由器,也不是impossible misson,我总结了如下几点,供大家参考:

  • 修改路由器的默认IP地址。现在大部分的路由器默认都是192.168.1.1或者192.168.0.1。你要是不修改的话,很容易和私接的路由器IP地址冲突。建议修改成172.16.0.1类似的IP段。
  • 配置IP-MAC绑定。在网关或者交换机设备上配置IP-MAC绑定后,私接的设备一律上不了网。自然就杜绝了私接设备的想法。
  • 网路有问题时,扫描下是否有私接的DHCP服务或者IP冲突等。可以很快捷的定位到问题所在。
  • 颁布行政命令,禁止私接网路设备,违反者罚款。

只要做到上述的几点,你再也不需要为私接路由器烦恼啦。至于IP-MAC绑定,以及dhcp扫描等工具,用WFilter就可以轻松实现,以下是一些相关的功能截图:

WFilter的IP-MAC绑定:

WFilter的各种检测插件:

DHCP扫描

网路健康度检测,可以检测IP冲突、ARP欺骗等常见网路问题。

从第二DHCP获取一下上网参数,用arp命令看网关的Mac地址,有物理地址了就把那个设备找出来好了。

其实在网上可以查物理地址的厂商信息,譬如查到是tplink的物理地址,那就找tplink的小路由挨个拔试试好了。

如果是配置了DHCP服务的计算机或虚拟机,就比较麻烦点,一个一个看Mac应该也不难翻出来。

如果是链路层攻击,恶意刷网关引流量进行嗅探,找起来会更麻烦。

也可以一直ping假网关,挨个拔网线,发现某个网线拔了就ping不通,那就顺著网线找对端设备,对端是计算机,那就查到头了。对端是小设备,那继续挨个拔那个设备上的网线接著往下捋,全拔了都不断,那一定是那台小设备上开DHCP了。

更专业的办法(实际上大型网路的网管在用的办法),你们上联的交换机支持网管的话,登上去看假网关是从哪个物理埠学上来的,那是相当简单快捷,不过看你问问题的描述方法,等交换机查arp表啥的可能比较困难,还是前面的弄法吧。

上面的办法都不会弄,那用arp命令静态绑定正确的网关IP和Mac地址对也成,不过移动终端啥的想绑静态Mac很麻烦,基本上只适用于电脑。每台都得绑,每次重装都得重绑,麻烦。

pc可以看到伪dhcp伺服器的mac地址。然后在交换机上查该mac地址的介面,从而定位到该伪dhcp伺服器。

可以启用交换机的dhcp snooping功能,从而防范伪dhcp攻击

确切说, 没有太好的办法.

我在工作中就出现过这样的问题.

WiFi路由器R下接了一些设备, 这些设备都是从R获取ip地址(192.168.1.x /24) , 我为了在本机搭建一个小的软路由, 开启另外一个dhcp server. 然后问题来了,新接入的设备, 都从我这里拿到ip地址. 新设备都无法上网.

解决办法, 我本机断开WiFi, 这样新设备就与我不在同一区域网内了. dhcp request自然就只发送到WiFi路由器R上了

非可网管区域网:没办法,一台一台查。

可网管区域网:获取非法地址的主机通过ARP或抓包查看非法DHCP-Server的MAC地址,然后在可网管交换机上查询MAC所在埠,确定非法DHCP-Server位置。

可网管区域网进阶:部署dhcp snooping

你这种情况应该是办公室比较多的公司吧 。

在受影响的电脑浏览器上输入被分配的网关,一般就是那个私接的路由器了。就算不知道密码也能从登录界面看出是什么型号的路由器,然后就挨个办公室找呗

我之前在公司接路由器出现过这个问题,我后来把DHCP先关了,要么自己分在DHCP设置同一网段不同范围的iP地址,也不会冲突。

题主可以改DHCP分配地址和另一个同一网段不同范围的地址。

1、工作群里问一下

2、尝试用默认密码进他的后台关dhcp服务,然后在工作群里表明,要另外接路由器需要申请,毕竟一般单位wifi覆盖不会做的很好,外接个也很正常

推荐阅读:
相关文章